此木马是一个DLL，应该还有一个加载程序

1.病毒运行后，会调用CreateMutex建立一个名为UAM_4803互斥量，这样就保证系统中只有病毒的一个实例在运行



2.通过调用SeDebugPrivilege等函数提升权限



3.遍历进程对找到的第一个”svchost”进程，将自己将注入其内存，然后通过CreateRemoteThread启动其导出函数”Entry”。



注入执行部分:

1.通过尝试创建名为"UAM_4803"的互斥量来检查驱动是否加载，如加载则不做其它操作。
如果未加载则，注册服务,实现自启动驱动,并立即启动该服务





2.启动工作线程，连接远程服务器，接受命令，执行, 实现远程监控功能。



3.支持以下命令
cmd命令
结束指定进程
根据网址,下载文件（执行）
打开指定网址
设置主页
浏览目录
获得文件详细信息
同服务器进行上传和下载文件
打开,删除文件
创建,删除目录
清除日志
桌面截图




图片可能看的不清晰
附上IDB，里面部分已经注解
求精华。。求声望。。

本人决定从现在开始每周最少申精2篇。。。

上传的附件

病毒原本与IDB.rar解压密码：muma